□记者 苏洁
在数字化浪潮中,金融机构或主动为之,或被裹挟前行。在各种技术的加持下,大数据和AI技术的应用,让金融科技迎来最好的时代。数字化转型背景下,数据成为基本要素。与之相对应的,数据安全和隐私保护成为银行业关注的焦点。
数字化对银行数据安全提出更高要求
中国互联网金融协会会长、中国人民银行原副行长李东荣在日前举办的2021中关村论坛金融科技平行论坛上表示,当前,我国经济社会数字化转型进入快车道,金融科技作为科技驱动的金融创新,已深入到普罗大众生产生活的各个方面,发挥着越来越重要的功能作用。与此同时,我们也愈发注意到,数字鸿沟、技术排斥、算法歧视、隐私泄露等科技伦理挑战也更加凸显。社会上关于加强科技伦理治理的呼声日益强烈。
大数据时代,数据就和呼吸一样“自然”。数据资产的价值既能为金融机构带来利益,而虚拟化经济、数字化趋势带来的数据隐私、数据安全问题日益引起金融行业的重视。
在全球信息化的今天,无论是外部法律、法规及监管制度的要求,还是企业发展内在需求,都在促使银行业数据安全体系的不断完善。保护数据的私密性、完整性、真实性和可靠性成为银行机构数字化转型的重中之重。
索信达数据管理领域专家韦海晗表示,一方面,国家和监管对数据安全要求日益严格,金融机构的数据安全管理需要符合国家标准、国内标准及行业标准,接受监管机构的检查和审计;另一方面,银行机构内部的安全管理、风险管控、数据共享等要求,使得可靠的数据存储、安全的挖掘分析、严格的运营监控成为大数据时代下机构安全的刚需,对于保护客户及员工隐私数据安全、保护关键商务交互安全、保障企业统一身份管理、保障企业数据安全存储与归档、完善监管审计制度、提升抗风险能力等都具有重要意义。
与此同时,韦海晗认为,银行业数据安全仍面临挑战和痛点,主要体现在三个方面:一是要求管理内容更丰富,具体体现在非结构化数据纳入管理范畴、客户隐私数据保护成为重点、数据安全分级管理成为必要、海量数据脱敏比较关注、分布式的基础设施灾备、更多相关的法律法规保证等。二是要求管理能力更出色,比如对数据安全要求更高,数据泄露影响也更大,面对海量的数据进行全面的安全分级管理,一些新的大数据产品对于数据安全设计存在缺陷,更多依赖于企业自身数据安全管理能力,分布式的灾备和恢复要求也越来越多。三是要求管理技术更先进。比如利用大数据技术获取企业不同类型的安全数据,识别潜在的数据安全风险和威胁,以及更全面、灵活的数据文件访问技术,基础设施灾备和恢复技术等。
“数据安全只是一个方面。从更广范围来讲,包括数据在内的整个金融信息安全都是银行机构需关注的重点。像隐私泄露、恶意软件、攻击篡改、验证信息窃取、身份盗用、非授权访问、违规操作、伪造支付软件、攻击系统漏洞、病毒入侵、恶意攻击等都是金融场景中常见的影响金融信息安全的隐患及风险。”韦海晗介绍。
银行机构如何构建数据安全体系
面对日益严格的监管和时代提出的要求,银行机构必须要对数据安全管理高度重视。
目前,我国已相继发布了《网络安全法》《数据安全法》和《个人信息保护法》,这对于推动我国数据安全协作给出了法律依据。
作为我国一部标志性的与数据安全相关的重要法律,9月1日起正式施行的《数据安全法》成为数据安全保障和数字经济发展领域的重要基石,对于规范我国的数据处理活动,保障数据安全,促进数据开发利用,以及保护个人、组织的合法权益都有着重要意义。
数牍科技副总裁姚雪洁表示,《数据安全法》的实施,针对保障数据安全方面,对于提供数据协作服务的企业来说,也是一个前所未有的机遇。要求了相关行业在进行自主经营数据业务,或者对外提供数据服务的过程中,既要不断提升自身的整体安全能力,也要帮助合作伙伴提升数据安全的能力。因此,不止是数据安全协作的相关行业,所有与数据相关的,不管是核心企业还是边缘企业,都要在安全方面增加投入,安全技术和服务水平能力将决定企业能否长远发展。
姚雪洁认为,虽然技术的投入不可缺少,但是也要避免闭门造车和唯技术论,企业要充分参与到金融、电信、医疗等重点行业领域的数据开放的过程中,采取多种安全措施确保数据流通安全,只有在这个过程中,各类隐私增强技术才会被不断激活,并实现功能、性能等各方面的提升。
韦海晗指出,数据安全是一种主动防护措施,必须依靠可靠、完整的安全体系与安全技术来实现。对于银行机构来说,构建一套科学、完善的数据安全体系十分必要。从目前来看,一些头部银行较早在数据安全管理方面有所实践,比如一些银行是从建立数据安全分级、建立数据安全管理制度等方面开始着手的。
如何科学构建数据安全体系?韦海晗介绍,数据安全体系包括三个层面:数据安全管理、数据安全服务、数据技术安全。
数据安全管理包括组织架构、制度规范和管理流程,其中数据安全管理组织在内容上要遵循信息化安全整体策略和要求,在数据管理组织架构上可分别设立决策层、管理层和执行层;数据安全的管理流程遵循计划、评估、执行和总结等四个阶段滚动执行,需要审批自动流转;数据安全的制度规范遵循信息安全的整体规范,并参考相关规矩标准。数据安全服务包括数据安全分级、数据安全监控、数据泄密保护、数据归档、数据加密、数据灾备,这部分工作要点包括:确定数据安全分级规则,进行相应数据安全等级划分;需要建立评估体系支撑数据安全分级管理,并制定不同分级对应的加密策略、归档策略、监控策略和备份策略等;确定数据安全监控内容,制定安全监控重点,并指导闭环管理流程;确定数据泄密保护内容,制定保护措施和方法;结合数据生命周期策略,从数据安全角度确定归档的作用等等。数据技术安全包括数据库安全监控系统、历史数据归档系统、灾备系统等。
银行数据安全管理的技术方案
2020年9月,中国人民银行发布的《金融数据安全数据安全分级指南》是针对金融行业数据安全分级相对完整全面的重要规范指导,其中将数据安全等级分为了五级。央行称,数据安全定级的目标是对数据资产进行全面梳理并确立适当的数据安全分级,是金融业机构实施有效数据分级管理的必要前提和基础。
对于如何解决当前金融业数据安全、信息隐私保护等问题,业界专家也提出了一些技术方面的解决手段。比如有专家认为区块链技术的应用非常重要,因为它能理清三种关系:数据的所有者(制造者)、数据管理者、数据的使用者。而当前区块链应用存在效率低,成本高的问题,解决这些问题的一个比较现实的技术方案是用区块链的方式实现逻辑上的去中心化、物理上的中心化,把数据所有权还给大家。
在银行机构构建数据安全体系的具体实践中,韦海晗也提出了一些看法,“在实践中,银行机构可以设立从决策到业务到技术的体系化的数据安全管理组织,以有序推动数据安全管理工作的推进与执行。另外,可建立从制订计划、评估安全、执行解决方案、到总结经验的数据安全管理流程,实时监测内部用户访问敏感数据,及时发现数据泄露事件,防范数据库后台授权用户操作风险,向管理层提供准确的数据库风险状况报表等。”
索信达数据科学家邵俊提出,目前,联邦学习也是一种打通金融数据壁垒和隐私保护的有效解决之道,因为联邦学习可使得各个参与方之间协同来完成一个数据模型的训练,训练出的模型是基于所有参与方的数据而达到的效果,但参与方彼此之间不会泄露各自的原始数据。
总之,数据安全可为金融企业发展护航,保护客户数据和内部经营数据,降低风险,保障业务持续运转。未来还需多方共同努力,寻求数据安全发展的有效之道。
□记者 苏洁
在数字化浪潮中,金融机构或主动为之,或被裹挟前行。在各种技术的加持下,大数据和AI技术的应用,让金融科技迎来最好的时代。数字化转型背景下,数据成为基本要素。与之相对应的,数据安全和隐私保护成为银行业关注的焦点。
数字化对银行数据安全提出更高要求
中国互联网金融协会会长、中国人民银行原副行长李东荣在日前举办的2021中关村论坛金融科技平行论坛上表示,当前,我国经济社会数字化转型进入快车道,金融科技作为科技驱动的金融创新,已深入到普罗大众生产生活的各个方面,发挥着越来越重要的功能作用。与此同时,我们也愈发注意到,数字鸿沟、技术排斥、算法歧视、隐私泄露等科技伦理挑战也更加凸显。社会上关于加强科技伦理治理的呼声日益强烈。
大数据时代,数据就和呼吸一样“自然”。数据资产的价值既能为金融机构带来利益,而虚拟化经济、数字化趋势带来的数据隐私、数据安全问题日益引起金融行业的重视。
在全球信息化的今天,无论是外部法律、法规及监管制度的要求,还是企业发展内在需求,都在促使银行业数据安全体系的不断完善。保护数据的私密性、完整性、真实性和可靠性成为银行机构数字化转型的重中之重。
索信达数据管理领域专家韦海晗表示,一方面,国家和监管对数据安全要求日益严格,金融机构的数据安全管理需要符合国家标准、国内标准及行业标准,接受监管机构的检查和审计;另一方面,银行机构内部的安全管理、风险管控、数据共享等要求,使得可靠的数据存储、安全的挖掘分析、严格的运营监控成为大数据时代下机构安全的刚需,对于保护客户及员工隐私数据安全、保护关键商务交互安全、保障企业统一身份管理、保障企业数据安全存储与归档、完善监管审计制度、提升抗风险能力等都具有重要意义。
与此同时,韦海晗认为,银行业数据安全仍面临挑战和痛点,主要体现在三个方面:一是要求管理内容更丰富,具体体现在非结构化数据纳入管理范畴、客户隐私数据保护成为重点、数据安全分级管理成为必要、海量数据脱敏比较关注、分布式的基础设施灾备、更多相关的法律法规保证等。二是要求管理能力更出色,比如对数据安全要求更高,数据泄露影响也更大,面对海量的数据进行全面的安全分级管理,一些新的大数据产品对于数据安全设计存在缺陷,更多依赖于企业自身数据安全管理能力,分布式的灾备和恢复要求也越来越多。三是要求管理技术更先进。比如利用大数据技术获取企业不同类型的安全数据,识别潜在的数据安全风险和威胁,以及更全面、灵活的数据文件访问技术,基础设施灾备和恢复技术等。
“数据安全只是一个方面。从更广范围来讲,包括数据在内的整个金融信息安全都是银行机构需关注的重点。像隐私泄露、恶意软件、攻击篡改、验证信息窃取、身份盗用、非授权访问、违规操作、伪造支付软件、攻击系统漏洞、病毒入侵、恶意攻击等都是金融场景中常见的影响金融信息安全的隐患及风险。”韦海晗介绍。
银行机构如何构建数据安全体系
面对日益严格的监管和时代提出的要求,银行机构必须要对数据安全管理高度重视。
目前,我国已相继发布了《网络安全法》《数据安全法》和《个人信息保护法》,这对于推动我国数据安全协作给出了法律依据。
作为我国一部标志性的与数据安全相关的重要法律,9月1日起正式施行的《数据安全法》成为数据安全保障和数字经济发展领域的重要基石,对于规范我国的数据处理活动,保障数据安全,促进数据开发利用,以及保护个人、组织的合法权益都有着重要意义。
数牍科技副总裁姚雪洁表示,《数据安全法》的实施,针对保障数据安全方面,对于提供数据协作服务的企业来说,也是一个前所未有的机遇。要求了相关行业在进行自主经营数据业务,或者对外提供数据服务的过程中,既要不断提升自身的整体安全能力,也要帮助合作伙伴提升数据安全的能力。因此,不止是数据安全协作的相关行业,所有与数据相关的,不管是核心企业还是边缘企业,都要在安全方面增加投入,安全技术和服务水平能力将决定企业能否长远发展。
姚雪洁认为,虽然技术的投入不可缺少,但是也要避免闭门造车和唯技术论,企业要充分参与到金融、电信、医疗等重点行业领域的数据开放的过程中,采取多种安全措施确保数据流通安全,只有在这个过程中,各类隐私增强技术才会被不断激活,并实现功能、性能等各方面的提升。
韦海晗指出,数据安全是一种主动防护措施,必须依靠可靠、完整的安全体系与安全技术来实现。对于银行机构来说,构建一套科学、完善的数据安全体系十分必要。从目前来看,一些头部银行较早在数据安全管理方面有所实践,比如一些银行是从建立数据安全分级、建立数据安全管理制度等方面开始着手的。
如何科学构建数据安全体系?韦海晗介绍,数据安全体系包括三个层面:数据安全管理、数据安全服务、数据技术安全。
数据安全管理包括组织架构、制度规范和管理流程,其中数据安全管理组织在内容上要遵循信息化安全整体策略和要求,在数据管理组织架构上可分别设立决策层、管理层和执行层;数据安全的管理流程遵循计划、评估、执行和总结等四个阶段滚动执行,需要审批自动流转;数据安全的制度规范遵循信息安全的整体规范,并参考相关规矩标准。数据安全服务包括数据安全分级、数据安全监控、数据泄密保护、数据归档、数据加密、数据灾备,这部分工作要点包括:确定数据安全分级规则,进行相应数据安全等级划分;需要建立评估体系支撑数据安全分级管理,并制定不同分级对应的加密策略、归档策略、监控策略和备份策略等;确定数据安全监控内容,制定安全监控重点,并指导闭环管理流程;确定数据泄密保护内容,制定保护措施和方法;结合数据生命周期策略,从数据安全角度确定归档的作用等等。数据技术安全包括数据库安全监控系统、历史数据归档系统、灾备系统等。
银行数据安全管理的技术方案
2020年9月,中国人民银行发布的《金融数据安全数据安全分级指南》是针对金融行业数据安全分级相对完整全面的重要规范指导,其中将数据安全等级分为了五级。央行称,数据安全定级的目标是对数据资产进行全面梳理并确立适当的数据安全分级,是金融业机构实施有效数据分级管理的必要前提和基础。
对于如何解决当前金融业数据安全、信息隐私保护等问题,业界专家也提出了一些技术方面的解决手段。比如有专家认为区块链技术的应用非常重要,因为它能理清三种关系:数据的所有者(制造者)、数据管理者、数据的使用者。而当前区块链应用存在效率低,成本高的问题,解决这些问题的一个比较现实的技术方案是用区块链的方式实现逻辑上的去中心化、物理上的中心化,把数据所有权还给大家。
在银行机构构建数据安全体系的具体实践中,韦海晗也提出了一些看法,“在实践中,银行机构可以设立从决策到业务到技术的体系化的数据安全管理组织,以有序推动数据安全管理工作的推进与执行。另外,可建立从制订计划、评估安全、执行解决方案、到总结经验的数据安全管理流程,实时监测内部用户访问敏感数据,及时发现数据泄露事件,防范数据库后台授权用户操作风险,向管理层提供准确的数据库风险状况报表等。”
索信达数据科学家邵俊提出,目前,联邦学习也是一种打通金融数据壁垒和隐私保护的有效解决之道,因为联邦学习可使得各个参与方之间协同来完成一个数据模型的训练,训练出的模型是基于所有参与方的数据而达到的效果,但参与方彼此之间不会泄露各自的原始数据。
总之,数据安全可为金融企业发展护航,保护客户数据和内部经营数据,降低风险,保障业务持续运转。未来还需多方共同努力,寻求数据安全发展的有效之道。